Guia rápida de Newnat

Transcripción

1

2 Guía rápida de Newnat Christian Conejero > potato.com.ar Versión: 1, Abril 2003 Esta guía rápida explica cómo instalar y configurar Iptables con soporte H323. Se basa en la distribución Debian Sarge (testing). Cualquier comentario será bienvenido. Esta guía se distribuye SIN NINGUNA GARANTIA. No me responsabilizo de los posibles problemas que conlleve el ejecutar todos los pasos que se describen. Esta guía se distribuye bajo licencia GPL ( ). La última versión de esta guía siempre estará disponible en potato.com.ar/doc/ Contenido 1 Introducción 2 2. Dónde está el sitio Web oficial y la lista? 2 3 Qué es Network Address Translation? Qué es H.323? Razones para usar NEWNAT Puesta al día rápida con respecto a los núcleos 2.0 y Guía rápida de Newnat 1

3 4 Ingredientes : ) Howto 4 5 Instalación Guía de puerto TCP/UDP 7 6 Agradecimientos y comentario 20 1 Introducción Bienvenido, gentil lector 1 Introducción 2

4 Está a punto de sumergirse en el fascinante (y a veces horrendo) mundo del NEWNAT (N.A.T. = Network Address Translation), y esto es una guía más o menos precisa para el núcleo de Linux. En Linux 2.4.X, se ha introducido una infraestructura para trastear con los paquetes, llamada «netfilter». Hay una capa por encima que proporciona NAT, completamente rescrita con respecto a anteriores núcleos. Sarge (Testing), pero es totalmente válido para otras versiones de Debian, incluso para otras distribuciones de Linux. 2. Dónde está el sitio Web oficial y la lista? Sitios oficial: (Iptables y Newnat) La lista oficial de correo de netfilter está en el servidor de listas de Samba: 3 Que es Network Address Translation? Normalmente, los paquetes viajan en una red desde su origen (por ejemplo su ordenador) a su destino (como por ejemplo a través de varios enlaces diferentes: unos 19 desde donde yo estoy en Australia (esto lo dice Rusty, claro). Ninguno de estos enlaces altera realmente el paquete: simplemente lo envían un paso adelante. Si uno de estos enlaces hiciera NAT, podría alterar el origen o destino del paquete según pasa a través suyo. Como puede imaginar, ésta no es la función para la que se diseñó el sistema, y por tanto NAT es siempre un tanto enrevesado. Normalmente, el enlace que esté haciendo NAT recordará cómo jugueteó con el paquete, para hacer la acción inversa con el paquete de respuesta, de manera que todo funciona como se esperaba. 2. Dónde está el sitio Web oficial y la lista? 3

5 3.1 Que es H.323? El estándar H.323 proporciona la base para la transmisión de voz, datos y vídeo sobre redes no orientadas a conexión y que no ofrecen un grado de calidad del servicio, como son las basadas en IP, de manera tal que las aplicaciones y productos puedan ínter operar, permitiendo la comunicación entre los usuarios sin que éstos se preocupen por la compatibilidad de sus sistemas. La LAN sobre la que los terminales H.323 se comunican puede ser un simple segmento o un anillo, o múltiples segmentos con una topología compleja, lo que puede resultar en un grado variable de rendimiento. H.323 fija los estándares para la comunicación de voz y vídeo sobre redes de área local, con cualquier protocolo que por su propia naturaleza presentan una gran latencia y no garantizan una determinada calidad del servicio (QoS). Para la conferencia de datos se apoya en la norma T.120, con lo que en conjunto soporta las aplicaciones multimedia. Los terminales y equipos conforme a H.323 pueden tratar voz en tiempo real, datos y vídeo. El estándar contempla el control de la llamada, gestión de la información y ancho de banda para una comunicación punto a punto y multipunto, dentro de la LAN, así como define interfaces entre la LAN y otras redes externas, como puede ser la RDSI. Es una parte de una serie de especificaciones para videoconferencia sobre distintos tipos de redes, que incluyen desde la H.320 a la H.324, estas dos válidas para RTB (Red Telefónica Básica) y RTC (Red Telefónica Conmutada), respectivamente. H.323 establece los estándares para la compresión y descompresión de audio y vídeo, asegurando que los equipos de distintos fabricantes se entiendan. Así, los usuarios no se tienen que preocupar de cómo el equipo receptor actúe, siempre y cuando cumpla este estándar. La gestión del ancho de banda disponible para evitar que la LAN se colapse con la comunicación de audio y vídeo, por ejemplo, limitando el número de conexiones simultáneas, también está contemplada en el estándar. La norma H.323 hace uso de los procedimientos de señalización de los canales lógicos contenidos en la norma H.245, en los que el contenido de cada uno de los canales se define cuando se abre. Estos procedimientos se proporcionan para fijar las prestaciones del emisor y receptor, el establecimiento de la llamada, intercambio de información, terminación de la llamada y como se codifica y decodifica. Cuando se origina una llamada telefónica sobre Internet, los dos terminales deben negociar cual de los dos ejerce el control, de manera tal que sólo uno de ellos origine los mensajes especiales de control. Una cuestión importante es, como se ha dicho, que se deben determinar las capacidades de los sistemas, de forma que no se permita la transmisión de datos si no pueden ser gestionados por el receptor. La comunicación bajo H.323 contempla las señales de audio y vídeo. La señal de audio se digitaliza y se comprime bajo uno de los algoritmos soportados, tales como el G.711 o G.723, y la señal de vídeo (opcional) se trata con la norma H.261 o H.263. Los datos (opcional) se manejan bajo el estándar T.120 que permite la 3.1 Que es H.323? 4

6 compartición de aplicaciones en conferencias punto a punto y multipunto. Una característica de la telefonía sobre una LAN o Internet es que se permite la información de vídeo sobre la de audio (videoconferencia), formateada de acuerdo con el estándar H.261 o H.263, formando parte de la carga útil del paquete RTP. Dado que se envían sólo los cambios entre cuadros resulta muy sensible a la pérdida de paquetes, lo que da origen a la distorsión de la imagen recibida. 3.2 Razones para usar NEWNAT La razón es muy simple esta guía esta armada para personas que necesitan implementar H323 o RTP. Les dejo un links para que puedan profundizar en el tema. SIP %20Diego Acosta.pdf Pido mil disculpas a aquellas personas que buscan en esta guía encontrar información de cómo poder implementar NAT, teniendo en cuenta que nos vamos a saltear muchos pasos obvios de Iptables. Acá les dejo un link muy bueno que los pone al tanto de que es NAT y Iptables COMO/NAT COMO.html 3.3 Puesta al día rápida con respecto a los núcleos 2.0 y 2.2 Lo siento por aquellos que todavía estén aturdidos por la transición desde 2.0 (ipfwadm) a 2.2 (ipchains). Hay buenas y malas noticias. Primero, puede seguir usando ipchains o ipfwadm como antes. Para hacerlo, necesita cargar los módulos del núcleo «ipchains.o» o «ipfwadm.o» que encontrará en la última distribución de netfilter. Son mutuamente exclusivos (está advertido), y no deberían combinarse con ningún otro módulo de netfilter. Una vez haya instalado uno de estos módulos puede utilizar ipchains e ipfwadm con normalidad, excepto por las siguientes diferencias: 3.2 Razones para usar NEWNAT 5

7 Establecer los tiempos límite (time out) con ipchains M S o ipfwadm M s no hace nada. Como los límites de tiempo con la nueva infraestructura NAT son más grandes, no debería haber problema. Los campos init_seq, delta y previous_delta en la lista ampliada de enmascaramiento (verbose masquerade listing) siempre son 0. Listar los contadores y ponerlos a cero al mismo tiempo «Z L» ya no funciona: los contadores no se pondrán a cero. 4 Ingredientes J Kernel ( iptables a 5 (IP packet filter administration tools for kernels) newnat5 and helpers patch.gz ( 4.1 Howto COMO/NAT COMO.html extensions/netfilter extensi tutorial.frozentux.net/ area.org/linux/system/linux_kernel.htm numbers 4 Ingredientes J 6

8 5 Instalación 1) Bajamos el kernel y lo guardamos en cd /usr/src/ 2) Descomprimimos el kernel /usr/src/# tar Ixvf linux tar.gz 3) Entramos a la carpeta cd /usr/src/linux 4) aplicamos el patch de NEWNAT gzip cd newnat5 and helpers patch.gz patch p1 E 5) Nos fijamos si estamos en la carpeta del kernel pwd 6) A compilar make menuconfig 7) Y para los que no saben como compilar un kernel les dejo unos links muy buenos quickcam 8) Acá les muestro para que puedan chaquear si el patch fue aplicado y lo pueden instalar como modulo o estático, la compilación queda a gusto de cada usuario y/o administrador. 1. Networking options > 2. [*] Network packet filtering (replaces ipchains) 3. [*] TCP/IP networking 4. IP: Netfilter Configuration > 5. <M> Connection tracking (required for masq/nat) 6. <M> FTP protocol support 7. <M> talk protocol support 8. <M> H.323 (netmeeting) support 9. <M> IRC protocol support 9) Al terminar de compilar ponemos make dep && make clean && make bzimage && make modules && make modules_install 10) Copiamos el archivo System.map (esta en /usr/src/linux/) y lo copiamos a la carpeta /Boot así System.map Ejemplo: cp /usr/src/linux/system.map /boot/system.map Instalación 7

9 11) Copiamos el archivo bzimage (esta en /usr/src/linux/ arch/i386/boot/) y lo copiamos a la carpeta /Boot así bzimage Ejemplo: cp /usr/src/linux/arch/i386/boot/bzimage /boot/bzimage ) Chequeamos que estén los archivos cd /boot y ls l 13) Acá declaramos los cambios en el LILO que se encuentre en /etc/lilo.conf lo editamos y ponemos lo siguiente Descomentamos las 2 líneas de abajo prompt timeout=100 Acá es donde le decimos que kernel arrancar default=linux 2416 Acá declaramos el nuevo núcleo image=/boot/bzimage label=linux 2416 read only # restricted # alias=1 Salvamos lo ingresado en el archivo lilo.conf y tipeamos el comando lilo Ejemplo: ns1:~# lilo Added Linux Added Linux 2416 * Skipping /vmlinuz.old 5 Instalación 8

10 Esto Added Linux 2416 * significa que lilo acepto los cambios 14) Ya esta hicimos todo, nos queda solo añadir las reglas de iptables para NEWNAT en nuestro SCRIPT de NAT, muestro ejemplos: Ejemplo N 1 #! /bin/bash EXTERNAL_IF=eth0 EXTERNAL_IP= PCA_HOST= $IPTABLES=/sbin/iptables Mod='modprobe' $Mod ip_tables $Mod iptable_filter $Mod ip_conntrack_h323 $Mod ip_nat_h323 logger s "H323 Ports" H323_PORTS=" " for PORT in $H323_PORTS; do $IPTABLES t nat A PREROUTING i $EXTERNAL_IF p tcp d $EXTERNAL_IP \ dport $PORT m state state NEW,ESTABLISHED,RELATED \ j DNAT to destination $PCA_HOST v Ejemplo N 1 9

11 done logger s "H323 Ports" H323_PORTS=" " for PORT in $H323_PORTS; do $IPTABLES t nat A PREROUTING i $EXTERNAL_IF p udp d $EXTERNAL_IP \ dport $PORT m state state NEW,ESTABLISHED,RELATED \ j DNAT to destination $PCA_HOST v done Ejemplo N 2 #! /bin/bash $IP=/sbin/iptables Mod='modprobe' $Mod ip_tables $Mod iptable_filter $Mod ip_conntrack_h323 $Mod ip_nat_h323 # Esto es para las conexiones H.323 salientes. $IP A FORWARD m state state RELATED,ESTABLISHED j ACCEPT $IP A FORWARD i eth0 o eth1 p tcp dport 1720 syn j ACCEPT # Esto permite que las llamadas vayan del exterior a una dirección interna Ejemplo N 2 10

12 # No es necesario, si usted desea solamente hacer llamadas; no recibirlas $IP t nat A PREROUTING i eth0 d p tcp dport 1720 syn j DNAT to $IP A FORWARD i eth0 o eth1 p tcp dport 1720 syn j ACCEPT 15) Seguro que se pregunta como puede hacer si uso el programa ICQ, o si uso MSN o talvez jugar al Quake.. miren esto: 5.1 Guía de puerto TCP/UDP Mensajes & Conferencias Active Worlds IN TCP 3000 IN TCP 5670 IN TCP 7777 IN TCP [0000] Type=TCP Translation=NORMAL Port=5670 [0001] Type=TCP Translation=NORMAL Port=7777 [0002] Type=TCP Translation=NORMAL Port= [0003] Type=TCP Translation=NORMAL Port= Guía de puerto TCP/UDP 11

13 AIM Talk OUT TCP 4099 IN TCP 5190 Battlecom IN UDP IN TCP IN UDP IN TCP Buddy Phone (solamente comunicaciones. No FTP) IN UDP Calista IP phone OUT TCP 5190 IN UDP 3000 CuSeeMe OUT UDP IN UDP 1414 [usa H.323 protocolo si esta habilitado] IN UDP 1424 [usa H.323 protocolo si esta habilitado] IN TCP 1503 IN TCP 1720 [usa H.323 protocolo si esta habilitado] IN UDP IN TCP 7640 IN TCP 7642 IN UDP 7648 IN TCP 7648 IN TCP IN UDP IN UDP OUT UDP 1414 [usa H.323 protocolo si esta habilitado] OUT UDP 1424 [usa H.323 protocolo si esta habilitado] OUT TCP 1503 OUT TCP 1720 [usa H.323 protocolo si esta habilitado] OUT UDP OUT TCP 7640 OUT TCP 7642 OUT UDP 7648 OUT TCP 7648 OUT TCP 7649 OUT UDP Guía de puerto TCP/UDP 12

14 Delta Three PC to Phone IN TCP [usa el protocolo del CuSeeMe si esta habilitado] IN TCP IN UDP IN UDP IN UDP IN UDP Dialpad OUT TCP 7175 IN UDP IN TCP IN TCP OUT TCP Dwyco Video Conferencing IN UDP IN TCP IN TCP IN TCP 6880 Go2Call IN UDP IN TCP 2090 H.323 compliant video player, NetMeeting 2.0, 3.0, Intel Video Phone (Llamadas en camino no es posible por que usa NetMeeting asignación de puertos automáticamente.) OUT TCP 1720 IN UDP [usa H.323 protocolo si esta habilitado] OUT UDP [usa H.323 protocolo si esta habilitado] IN TCP [usa H.323 protocolo si esta habilitado] OUT TCP [usa H.323 protocolo si esta habilitado] IN TCP [usa H.323 protocolo si esta habilitado] OUT TCP [usa H.323 protocolo si esta habilitado] IN TCP [usa H.323 protocolo si esta habilitado] OUT TCP [usa H.323 protocolo si esta habilitado] OUT TCP OUT TCP IN TCP IN TCP Guía de puerto TCP/UDP 13

15 Hotline Server IN TCP IN UDP 5499 Los puertos TCP habilitados son (Esto es para los estándar 5500 puerto Hotline) Si ud. Cambia los puertos por defecto, después ud. Debe habilitar estos 3 puertos (también si elige el puerto 4000, después debe habilitar los puertos 4000 al 4003) ICQ En las preferencias del ICQ "Preferences & security", "Preferences" haga click en Connections, y en "I am behind a firewall or proxy" después un click en "Firewall Settings". Y seleccione "I don't have a SOCKS Proxy server on my firewall" y/o "I am using another Proxy server". Click en siguiente Next. Click en "Use the following TCP listen ports for incoming event" y seleccione puertos TCP desde al para el primer usuario, al para el segundo usuario, al para el tercero, etc. OUT UDP 4000 IN TCP (para el primer usuario) OR IN TCP (para dos usuarios) OR IN TCP (para tres usuario, etc.) ICUII Client OUT TCP 2019 IN TCP IN TCP IN TCP 2069 IN TCP 2085 IN TCP OUT TCP OUT TCP OUT TCP 2069 OUT TCP 2085 OUT TCP ICUII Client (Version 4.xx) IN TCP IN TCP IN TCP IN TCP 2069 IN TCP 2085 IN TCP IN TCP IN TCP 6880 IN UDP Guía de puerto TCP/UDP 14

16 Internet Phone OUT UDP Ivisit IN UDP 9943 IN UDP LIVvE (Para mandar mensajes de Pager solamente) IN UDP 8999 mirc DCC / IRC DCC [mirc Proxy/Firewall Help page] IN TCP mirc Chat (El puerto usual del IRC es el 6667) IN TCP mirc IDENT IN UDP 113 MSN Messenger NOTA: Apague cualquier programa personal de firewall como alguno de estos BlackIce, ZoneAlarm, etc. Ports habilitar para el intercambio de archivos, Port 6901 es para la comunicaciones de voz. IN TCP IN TCP 1863 IN UDP 1863 IN UDP 5190 IN UDP 6901 IN TCP 6901 Net2Phone OUT UDP 6801 al 6803 IN UDP 6801 al 6803 IN/OUT UDP/TCP Guía de puerto TCP/UDP 15

17 Pal Talk IN UDP 2090 [voz] IN UDP 2091 [Control] IN TCP 2090 [transferencia de archivos] IN TCP 2091 [escucha de video] IN TCP 2095 [transferencia de archivos viejas versiones] OUT TCP [mensajes de texto] OUT TCP [Firewall / network mode group voice] OUT UDP [Firewall / network mode group voice] OUT UDP PhoneFree IN UDP IN UDP IN TCP IN TCP 2644 IN TCP 8000 Para llamada entrantes 8000 TCP Server access 1034 UDP Voice in/out 1035 TCP Voice in/out 2644 TCP Personal Communication Center UDP. Polycom ViaVideo H.323 IN TCP IN UDP NOTE: Ud. Necesita habilitar estos puertos para llamar a fuera. También habilite en ViaVideo (en el H.323 QoS) 'que use puertos' TCP y UDP Roger Wilco IN TCP 3782 IN UDP 3782 IN UDP 3783 Speak Freely IN UDP Guía de puerto TCP/UDP 16

18 Yahoo Messenger Chat IN TCP Yahoo Messenger Phone IN UDP 5055 Audio & Video Camerades IN TCP IN UDP GNUtella IN TCP 6346 IN UDP 6346 IStreamVideo2HP IN TCP IN UDP KaZaA IN TCP 1214 Napster OUT TCP 6699 IN TCP 6699 QuickTime 4 Server IN TCP 6970 IN UDP QuickTime 4 Client & RealAudio on Port 554 OUT TCP 554 IN UDP Audio & Video 17

19 RealAudio on Port 7070 OUT TCP 7070 IN UDP ShoutCast Server IN TCP Games Aliens vs. Predator IN UDP 80 IN UDP IN UDP Anarchy Online (BETA) IN TCP 7013 IN TCP IN UDP 7013 IN UDP Asheron's Call [support page] [mapping info] OUT UDP 9000, 9004, 9008, 9012 IN UDP 9000, 9001, 9004, 9005, 9012, 9013 NOTE: Ud puede necesitar el MSN Game Zone y puertosdx. Black and White IN TCP IN TCP 6667 IN UDP 6500 IN UDP Blizzard Battlenet IN TCP/UDP 4000 IN TCP/UDP 6112 Bungie.net, Myth, Myth II Server IN TCP 3453 Games 18

20 Dark Reign 2 IN TCP IN UDP Delta Force (Cliente & Server) OUT UDP 3568 IN TCP OUT TCP IN UDP OUT UDP Delta Force 2 IN UDP 3568 IN UDP 3569 Elite Force IN UDP IN UDP IN UDP IN UDP al Everquest Mire la pagina de ayuda Everquest para mas información. IN TCP IN UDP Note: Puede tener abiertos este ultimo puerto del rango UDP F 16, Mig 29 IN UDP 3862 IN UDP 3863 F 22 Lightning 3 IN UDP 3875 IN UDP 4533 IN UDP 4534 IN UDP (para VON) F 22 Raptor IN UDP 3874, 3875 Games 19

21 Fighter Ace II IN TCP IN UDP DX para jugar usar estos puertos: IN TCP IN TCP IN UDP Half Life IN UDP 6003 IN UDP 7002 IN UDP IN UDP IN UDP Half Life Server IN UDP Heretic II Server IN TCP Hexen II Cada computadora con Hexen II debe usar diferente rango de puertos, empezando del y incrementando de 1. IN UDP (Para un jugador) KALI Cada computadora con KALI debe usar diferente rango de puertos, empezando del 2213 y incrementando de 1. IN UDP 2213 (Para un jugador) IN UDP 6666 Games 20

22 Kohan Immortal Sovereigns IN UDP 3855 IN UDP IN TCP 3855 IN TCP Motorhead server IN UDP IN TCP IN TCP IN UDP MSN Game Zone [support page] [DX support page] IN TCP 6667 IN TCP DX para jugar estos puertos: IN TCP IN TCP IN UDP Need for Speed Porche IN UDP 9442 Need for Speed 3 Hot Pursuit IN TCP 1030 Operation FlashPoint TCP ~ TCP 2234 ~ 2234 TCP & UDP Ports 6073 ~ 6073 Outlaws IN UDP 5310 IN TCP 5310 Operation FlashPoint 21

23 Quake2 (Cliente y Server) IN UDP QuakeIII Cada computadora con Quake III debe usar diferente rango de puertos, empezando del y incrementando de 1. Ud. También tiene que hacer estos cambios: 1. Click derecho en el icono de QIII 2. Elegir "Propiedades" 3. "C:\Program Files\Quake III Arena\quake3.exe" 4. Agregue el Quake III net_port en comandos y especifique el único puerto de comunicación en cada sistema (pc). 5. Click OK. 6. Repita esto si esta detrás de un firewall con NAT, estos son los puertos 27660,27661,27662 IN UDP (Para un jugador) Rainbow Six (Cliente & Server) OUT TCP 2346 IN TCP 2346 Rogue Spear OUT TCP 2346 IN TCP 2346 Soldier of Fortune IN UDP Starcraft IN UDP 6112 Starfleet Command IN TCP IN TCP IN UDP IN UDP Operation FlashPoint 22

24 SWAT3 IN TCP IN UDP Ultima IN TCP Juego IN TCP Logueo IN TCP 8888 Parche IN TCP UO Messenger IN TCP 9999 Parche IN TCP 7875 UOMonitor Unreal Tournament server IN UDP 7777 (puerto por defecto para jugar) IN UDP 7778 (puerto server query) IN UDP IN UDP IN TCP 8080 Apprule courtesy of Quantus' World OUT TCP 4000 IN TCP 4000 IN UDP IN TCP OUT UDP OUT TCP ZNES IN UDP 7845 FTP Server en su LAN IN TCP 21 Common Servers POP3 Mail Server en su LAN IN TCP 110 Common Servers 23

25 SMTP Mail server" en su LAN IN TCP 25 TELNET Server en su LAN IN TCP 23 WEB Server en su LAN IN TCP 80 Other BAYVPN OUT UDP 500 CITRIX Metaframe / ICA cliente IN TCP 1494 IN UDP 1604 IN TCP CarbonCopy32 Coputadora en su LAN IN TCP 1680 IN UDP Deerfield MDaemon Server IN TCP 3000 IN TCP 3001 Direct Connect IN TCP FW1VPN OUT UDP 259 Other 24

26 Laplink Host IN TCP 1547 Lotus Notes Server IN TCP 1352 NTP (Network Time Protocol) OUT UDP 123 IN UDP 123 pcanyhwere host en su LAN IN TCP 5631 IN UDP 5632 RAdmin (Fama Tech) IN TCP 4899 Remote Anything IN TCP IN UDP Remotely AnyWhere IN TCP 2000 Remotely Possible Server IN TCP 799 Shiva VPN OUT UDP 2233 IN UDP 2233 Timbuktu Pro IN TCP 407 Other 25

27 IN TCP IN UDP 407 IN UDP Virtual Network Computing (VNC) IN TCP 5500 IN TCP 5800 IN TCP 5900 Windows 2000 Terminal Server (porbablemente trabaje con NT Terminal services) IN TCP 3389 IN UDP ) Instalamos iptables de Netfilter apt get install iptables a 5 17) Bueno esto es el fin ; ) espero que les allá servido toda la info que les acabo de dar tenga en cuenta que esta guía esta armada para un nivel medio o avanzado. 6 Agradecimientos y Comentario Quiero agradecer a mi novia y familia que me apoya día a día, a las personas que trabajan codo a codo conmigo y especialmente a Sebastián Caballaro. Y al resto del mundo que soportó mis enojos mientras aprendía sobre los horrores de NAT. y NEWNAT. Todo el material fue buscado en libros, Web, Howto en Ingles y otros idiomas, solo trate de armar una guía de ayuda. 6 Agradecimientos y Comentario 26

28 Saludos cordiales, Christian Conejero 6 Agradecimientos y Comentario 27